Microsoft – Információk a kibertámadók célkeresztjében

A nemzetállami hátszéllel indított hírszerző és véleménybefolyásoló kibertámadások az elmúlt évben 120 országot érintettek, és ezen belül voltak időszakok, amikor a kampányok fele a NATO tagországait, több mint 40 százaléka pedig a kritikus fontosságú infrastruktúrát építő és üzemeltető szervezeteket célozta a kormányzati és a versenyszférában. Jóllehet a fizikai károkozás és az anyagi haszonszerzés céljából indított zsarolóvírusos támadások gyakran ma is nagyobb sajtóvisszhangot kapnak, az adatok azt mutatják, hogy a rosszindulatú szereplőket ismét a hírszerzés, a kommunikáció titkos lehallgatása és a közvélemény manipulálása motiválja erősebben – mutatott rá blogbejegyzésében (Espionage fuels global cyberattacks) Tom Burt, a Microsoft alelnöke, aki a biztonsági jelentés főbb megállapításait a közreadás előtt nemzetközi sajtótájékoztatón ismertette.

A Microsoft Digital Defense Report a globális fenyegetéskörnyezet tavaly július és idén június közötti állapotáról és trendjeiről, a nemzetállamok és a kiberbűnözők tevékenységéről, valamint a kibervédelem fejlődéséről ad részletes áttekintést. Az immár negyedik alkalommal közreadott, éves jelentéshez a Microsoft különböző biztonsági és fenyegetésfelderítési megoldásai szolgáltatnak telemetriai adatokat, amelyek másodpercenként több mint 750 milliárd jelet gyűjtenek össze világszerte – ezt az adatfolyamot a szoftvercég több mint 10 ezer biztonsági szakembere kifinomult adatanalitikai eszközökkel és AI algoritmusokkal elemzi.

Kevéssé meglepő trend talán, hogy Oroszország jelenleg az Ukrajna ellen indított háborúját támogató kiberkémkedésre összpontosít, de a több mint 130 oldalas jelentés olyan, váratlanabb fejleményekre is felhívja a figyelmet, mint például Kína stratégiai partnereket – az Egy Övezet Egy Út programban részt vevő országokat, közöttük Malajziát, Indonéziát és Kazahsztánt – célzó támadásai, vagy az orosz nukleáris energetikai, védelmi és kormányzati információk megszerzésére törekvő Észak-Korea próbálkozásai.

Jelentésében a Microsoft rávilágít arra is, hogy a nemzetállami támogatással működő szereplők a kiberhadviselés egyéb formái mellett mind gyakrabban alkalmaznak influenszereket a propaganda terjesztésére. A nemzeti és a globális közvélemény manipulálása a demokratikus intézmények aláásását célozza az ellenségnek tekintett országokban, ami a fegyveres konfliktusok és a nemzeti választások idején különösen veszélyes. Ukrajna megszállása óta influenszereinek tevékenységét Oroszország például következetesen összehangolja katonai és kibertámadásaival. Irán pedig a tavalyi elnöki választások után intézett pusztító kibertámadásokat az albán kormány ellen, amelyekkel együtt – azóta is tartó – influenszer-kampányt is indított.

Lopakodó zsarolók és MFA-fásultság

Bár a kiberbűnözők különféle csoportjai az elmúlt évben is fokozták kibertámadásaik intenzitását, a Microsoft termékek beépített védelme a rosszindulatú szoftverekkel operáló fenyegetések tízmilliárdjait blokkolták, továbbá a jelszavak nyers erővel történő feltörésére irányuló 237 milliárd próbálkozást hiúsítottak meg, és 619 ezer elosztott túlterheléses (DDoS) támadást hatástalanítottak – számolt be jelentésében a szoftvercég.

Névtelenségük megőrzéséhez és hatékonyságuk növeléséhez a bűnözők távoli titkosítással, valamint felhőalapú eszközökkel, például virtuális gépek használatával is igyekeznek eltüntetni nyomaikat, a verseny- és a közszféra szorosabb együttműködésének köszönhetően azonban így is egyre gyakrabban kerülnek a bűnüldöző szervek hálójába. De míg a zsarolóvírusokkal dolgozó bandák némelyikét – mint például a Targetet – sikerül felszámolni, tagjait letartóztatni és vád alá helyezni, addig sok más csoport továbbra is keresi a gyenge pontokat, amelyeken keresztül a legkönnyebben beférkőzhet a kiszemelt áldozatok rendszereibe, ezért a kibervédelem folyamatos fejlesztésére is szükséges ráerősíteni.

A Microsoft telemetriai adatai alapján az emberi közreműködéssel indított zsarolóvírusos támadások száma tavaly szeptember óta 200 százalékkal emelkedett. Az automatizált fenyegetésektől eltérően az ilyen kéz a billentyűzeten típusú támadások testre szabott követelésekkel veszik célba a tűz alá vett szervezet egészét. A bűnözők 60 százaléka az elmúlt időszakban távoli titkosítással minimalizálta a támadások lábnyomát, ezzel ellehetetlenítve a folyamatalapú elhárítást.

A vállalati felügyeleten kívül eső, például alkalmazotti tulajdonban levő (BYOD) eszközök különösen könnyű prédának számítanak ebben a műfajban, a megfigyelt, sikeres támadások 80 százalékában nem menedzselt eszközökön vérzett el a védelem. A zsarolóvírusokkal dolgozó bűnözők egyre gyakrabban keresik a kevéssé elterjedt szoftverek sérülékenységeit is, ami szintén megnehezíti a támadások előrejelzését és kivédését. Tavaly november óta megduplázódott az olyan esetek száma is, amelyekben a bűnözők adatokat is loptak áldozataiktól, és azok nyilvánosságra hozatalával fenyegetőztek, hogy kikényszerítsék a váltságdíj kifizetését – de az adatlopások persze a felhasználói azonosítók, illetve más értékes információk megszerzését, a kiberkémkedés célját is szolgálhatják.

Ellentmondásos kiberbűnözési trend a többfaktoros azonosítás (multifactor authentication, MFA) elterjedését kísérő felhasználói fásultság kihasználása. Bár a jelszó mellett további azonosítók megadását kérő MFA 99,2 százalékkal csökkenti a fiók- vagy rendszerfeltörés kockázatát, így a szervezetek számára az egyik legkönnyebben bevezethető és leghatékonyabb védelmet jelenti, a felhasználók belefáradhatnak az azonosítók halmozásába. A bűnözők ezt kihasználva addig bombázzák őket MFA-értesítésekkel, amíg végül feladják, és engedélyezik a hozzáférést. Az elmúlt évben a Microsoft naponta mintegy 6 ezer ilyen MFA-fásultságra építő próbálkozást figyelt meg.

AI és a kollektív védekezés

A támadók máris fegyvertárukba illesztették a mesterséges intelligenciát (AI), amelyet többek között az adathalász levelek finomhangolására, valamint a propaganda illusztrálására, az influenszerek által terjesztett képi tartalom szintetizálására használnak. Az AI ugyanakkor a sikeres kibervédelem kulcsfontosságú technológiája, amely a kiberbiztonság különböző területein erősíti és terjeszti ki az észlelés, a válaszadás, az elemzés, az előrejelzés és az automatizálás képességeit. A nagy nyelvi modellek (LLM-ek) révén a mesterséges intelligencia emellett párbeszéd alapú kezelőfelületet alkot, természetes nyelven hívja fel a figyelmet a biztonsági adatok elemzésével felismert összefüggésekre és fogalmaz meg javaslatokat a hatékonyabb védekezéshez – mutatott rá jelentésében a Microsoft.

Miközben a mesterséges intelligencia sok szempontból átformálja a társadalmat, a bizalom megőrzéséhez és a magánélet védelméhez, valamint a lehetőségek kiaknázáshoz és az elérhető előnyök hosszú távú biztosításához kulcsfontosságú, hogy a szállítók és a felhasználók felelősségteljes AI-gyakorlatot folytassanak. A generatív mesterséges intelligencia modelljei szükségessé teszik a kibervédelem továbbfejlesztését és olyan fenyegetésmodellek kidolgozását, amelyekkel az új kihívások – például a félretájékoztatást szolgáló szöveges, képi, video- és audiotartalom vagy a rosszindulatú kód generálása – eredményesen megválaszolhatók. A szoftvercég ezért minden AI termékét és szolgáltatását ezen elvek szerint fejleszti, olvasható a jelentésben.

A Microsoft Digital Defense Report oldalain ismertetett fenyegetések mértéke és jellege elkeserítőnek tűnhet, a technológia frontján azonban hatalmas előrelépések történnek a támadók legyőzése érdekében, és erős partnerségek alakulnak ki, amelyek átlépnek az országokat és az iparágakat, a magán- és a közszférát elválasztó határokon – emelte ki blogbejegyzésében Tom Burt. A Microsoft alelnöke emlékeztetett arra is, hogy a demokratikus országokban élő, szavazásra jogosult polgárok 75 százaléka a következő másfél évben alkalmat kap a voksolásra. Kollektív kibervédelmünk egyik sarokköve lesz ezért, hogy megőrizzük a választások biztonságát és a demokratikus intézmények erősségét.